Показано с 1 по 16 из 16.

Подозрения, что на машине кто-то хозяйничает.

  1. #1
    Junior Member Репутация
    Регистрация
    25.09.2009
    Сообщений
    101
    Вес репутации
    0

    Подозрения, что на машине кто-то хозяйничает.

    На компьютере установлена Debian Lenny. Сегодня стали появляться странные процессы. Запускают "Системный монитор" в Гноме. Уже 2 раза видел lsb_release (сообщает версию системы). Еще пару раз запускались команды, которые я не запускал. Что можно сделать?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    А что в /var/log/auth.log пишется?

    Добавлено через 31 секунду

    Цитата Сообщение от AndreyMust19 Посмотреть сообщение
    Еще пару раз запускались команды, которые я не запускал
    Какие к примеру?
    Последний раз редактировалось Kuzz; 16.08.2010 в 14:59. Причина: Добавлено
    The worst foe lies within the self...

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    959
    - может, ктото из числа разработчиков, таким образом с годовщиной Debian некоторых пользователей поздравляет
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для antanta
    Регистрация
    27.12.2008
    Адрес
    Алматы
    Сообщений
    687
    Вес репутации
    530
    Интересно, с проблемами GNU Linux можно обращаться в раздел "помогите"?

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    959
    Цитата Сообщение от antanta Посмотреть сообщение
    Интересно, с проблемами GNU Linux можно обращаться в раздел "помогите"?
    - когда будет достаточно много проблем, тогда и создадим с вой раздел "помогите" ...а пока в никсах самая большая проблема - это их пользователи, то и обойтись можно нашим разделом
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  7. #6
    Junior Member Репутация
    Регистрация
    25.09.2009
    Сообщений
    101
    Вес репутации
    0
    Какие к примеру?
    Точно помню Synaptic запускали. Как проверить - какие пакеты недавно были установлены?

    В /var/log/auth.log только записи когда я входил в систему.
    Лишние процессы запускаться перестали, а вот lsb_release все еще запускается. Успел увидеть, что его запускает python. А иногда сам запускается (командная строка - просто lsb_release). Может, поискать на диске все py-файлы?
    Последний раз редактировалось AndreyMust19; 17.08.2010 в 21:16.

  8. #7
    Junior Member Репутация
    Регистрация
    25.09.2009
    Сообщений
    101
    Вес репутации
    0
    Опять неск. раз появлялся процесс lsb_release, запущенный python'ом, один раз в начале новой сессии появилась ошибка "Nautilus не может запущен в данный момент". А пару минут назад в системном мониторе промелькнул процесс без имени и командной строки и пользователем root, хотя в опциях стоит "показывать только свои процессы".

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Цитата Сообщение от AndreyMust19 Посмотреть сообщение
    Точно помню Synaptic запускали
    Цитата Сообщение от AndreyMust19 Посмотреть сообщение
    lsb_release
    Демон-обновлятор на пайтоне... смотрит не вышла ли часом новая версия системы

    Цитата Сообщение от AndreyMust19 Посмотреть сообщение
    промелькнул процесс без имени и командной строки и пользователем root,
    Похоже на глюк от короткоживущего процесса
    The worst foe lies within the self...

  10. #9
    Junior Member Репутация
    Регистрация
    25.09.2009
    Сообщений
    101
    Вес репутации
    0
    Вообще-то lsb_release - это Python-скрипт, к-й выводит название дистрибутива и его версию. Исп-ся чтобы найти подходящую "жертву". Но запускаться он должен прямо, как lsb_release, а не из питона.
    Системный монитор автоматически запускает lsb_release при запуске.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Torvic99
    Регистрация
    15.01.2009
    Адрес
    Ukraine, Dnepropetrovsk
    Сообщений
    720
    Вес репутации
    227
    Цитата Сообщение от AndreyMust19 Посмотреть сообщение
    Вообще-то lsb_release - это Python-скрипт
    Ну и ка вы запустите питон-скрип не через питона?

  12. #11
    Junior Member Репутация
    Регистрация
    25.09.2009
    Сообщений
    101
    Вес репутации
    0
    Ну и ка вы запустите питон-скрип не через питона?
    Вот так:
    lsb_release
    и в командной строке он также будет выглядеть.
    В системном мониторе apt-get промелькнула. А я ее не запускал. Неужели никто не может ничего предложить?

    Вот что есть в /var/log/auth.log:
    Aug 23 10:17:01 pool-125-224 CRON[8312]: pam_unix(cron:session): session opened for user root by (uid=0)
    Aug 23 10:17:01 pool-125-224 CRON[8312]: pam_unix(cron:session): session closed for user root
    Aug 23 11:17:01 pool-125-224 CRON[8406]: pam_unix(cron:session): session opened for user root by (uid=0)
    Aug 23 11:17:01 pool-125-224 CRON[8406]: pam_unix(cron:session): session closed for user root
    Aug 23 12:17:01 pool-125-224 CRON[8897]: pam_unix(cron:session): session opened for user root by (uid=0)
    Aug 23 12:17:01 pool-125-224 CRON[8897]: pam_unix(cron:session): session closed for user root
    Aug 23 13:17:01 pool-125-224 CRON[10097]: pam_unix(cron:session): session opened for user root by (uid=0)
    Aug 23 13:17:01 pool-125-224 CRON[10097]: pam_unix(cron:session): session closed for user root
    Каждый час кто-то открывал root-сессию, что-то выполнял и закрывал ее. Пока отключил cron и atd
    Последний раз редактировалось AndreyMust19; 23.08.2010 в 13:29.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Цитата Сообщение от AndreyMust19 Посмотреть сообщение
    Каждый час кто-то открывал root-сессию,
    Сказано же в логе - крон ее и открывал.
    Т.е. у крона есть задание, которое он выполняет каждый час от имени рута
    Курим crontab и /etc/cron.d ...
    The worst foe lies within the self...

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Цитата Сообщение от AndreyMust19 Посмотреть сообщение
    Вот так:
    lsb_release
    и в командной строке он также будет выглядеть.
    Всё правильно. Shell или кто там у вас за него работает, полезет в файл, распознает в нём текст, прочитает первую строку, увидит там вызов Python и запустит самого Питона для интерпретации скрипта. Скрипты на то и скрипты, что сами по себе, без поддержки интерпретаторов, не выполняются.

  15. #14
    Junior Member Репутация
    Регистрация
    25.09.2009
    Сообщений
    101
    Вес репутации
    0
    Ага:
    # m h dom mon dow user command
    17 * * * * root cd / && run-parts --report /etc/cron.hourly
    25 6 * * * root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
    47 6 * * 7 root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.weekly )
    52 6 1 * * root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.monthly )
    Значит на 17 минуте каждый час он ничего не делал.

    Вот что пугает:
    If the /etc/cron.allow file exists, then you must be listed therein in
    order to be allowed to use this command. If the /etc/cron.allow file
    does not exist but the /etc/cron.deny file does exist, then you must
    not be listed in the /etc/cron.deny file in order to use this command.
    If neither of these files exists, then depending on site-dependent con‐
    figuration parameters, only the super user will be allowed to use this
    command, or all users will be able to use this command. For standard
    Debian systems, all users may use this command
    .
    Не значит ли это, что юзеры могли запускать программы от рута. Или только со своими привилегиями? Оба файла отсутствуют.

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Цитата Сообщение от AndreyMust19 Посмотреть сообщение
    Значит на 17 минуте каждый час он ничего не делал.
    Нет, знач на 17-й минуте он лезет в /etc/cron.hourly и выполняет все, что там лежит
    The worst foe lies within the self...

  17. #16
    Junior Member Репутация
    Регистрация
    25.09.2009
    Сообщений
    101
    Вес репутации
    0
    выполняет все, что там лежит
    там пусто

Похожие темы

  1. Вирусы на машине.
    От Михаил_83 в разделе Помогите!
    Ответов: 13
    Последнее сообщение: 11.12.2010, 17:11
  2. Ответов: 2
    Последнее сообщение: 27.11.2009, 17:18
  3. Множественные вирусы на машине
    От Niven в разделе Помогите!
    Ответов: 15
    Последнее сообщение: 05.11.2009, 21:49
  4. Производители антивирусов хозяйничают в кошельках клиентов
    От SDA в разделе Новости интернет-пространства
    Ответов: 1
    Последнее сообщение: 11.06.2009, 17:55
  5. Куча дряни была на машине!
    От serjga в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 10.02.2009, 14:56

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00135 seconds with 19 queries